Guides & Ressources pratiques
Contrôle URSSAF d'une entreprise fermée : prescription, procédure et droits du dirigeant
Applications IA en entreprise : panorama, cadre juridique et critères de choix
Points clés de l'article
- Une application IA désigne tout logiciel intégrant un système d'intelligence artificielle au sens du règlement européen (UE) 2024/1689, dit IA Act, entré en vigueur le 1er août 2024.
- Le DSI doit arbitrer entre 3 familles de solutions : outils grand public (ChatGPT, Copilot), plateformes SaaS spécialisées et solutions d'IA souveraine hébergées en Europe.
- Le cadre juridique combine l'IA Act, le RGPD, le Code de la propriété intellectuelle et, selon le secteur, des réglementations spécifiques (santé, finance, défense).
- Les contrats fournisseurs IA exigent des clauses spécifiques sur la localisation des données, la réversibilité, l'auditabilité des modèles et la responsabilité en cas de décision automatisée.
- La propriété des données d'entraînement, des outputs générés et des modèles fine-tunés constitue un point de négociation contractuelle déterminant.
- Le DSI et la direction juridique doivent collaborer dès la phase de sélection pour évaluer chaque application IA selon une grille combinant conformité réglementaire, sécurité technique et maîtrise des données.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Qu'est-ce qu'une application d'intelligence artificielle ? Définition et catégories
Panorama des applications IA en entreprise : grand public, SaaS et IA souveraine
Cadre juridique applicable : IA Act, RGPD et lois sectorielles
Sécurisation des contrats fournisseurs IA : clauses critiques pour le DSI
Conformité RGPD des applications IA : obligations et bonnes pratiques
Propriété intellectuelle et confidentialité des données traitées
Critères juridiques et techniques de sélection d'une application IA
Rôle du DSI et de la direction juridique dans le déploiement IA
Qu'est-ce qu'une application d'intelligence artificielle ? Définition et catégories
Le terme application IA recouvre tout logiciel qui intègre un ou plusieurs systèmes d'intelligence artificielle pour automatiser des tâches, produire des contenus ou assister la prise de décision. Le règlement européen (UE) 2024/1689, dit IA Act, adopté le 13 juin 2024 et entré en vigueur le 1er août 2024, fournit une définition juridique précise : un système d'IA est un « système fondé sur une machine, conçu pour fonctionner avec différents niveaux d'autonomie et pouvant faire preuve d'adaptabilité après déploiement ».
En pratique, les DSI rencontrent 3 grandes catégories d'applications IA :
- IA générative : production de texte, code, image ou synthèse vocale (ChatGPT, Midjourney, GitHub Copilot).
- IA analytique : détection de patterns dans des jeux de données structurés — scoring crédit, maintenance prédictive, détection de fraude.
- IA conversationnelle et décisionnelle : chatbots, assistants virtuels, moteurs de recommandation intégrés à des processus métier.
Chaque catégorie engage des niveaux de risque juridique différents. L'IA Act classe les systèmes en 4 niveaux : risque inacceptable (interdit), risque élevé (obligations renforcées), risque limité (transparence) et risque minimal (libre). Un DSI doit donc identifier la catégorie de risque de chaque application IA avant tout déploiement.
Panorama des applications IA en entreprise : grand public, SaaS et IA souveraine
Le marché des applications IA accessibles aux entreprises françaises se structure autour de 3 modèles distincts, chacun portant des implications juridiques et techniques spécifiques.
| Modèle | Exemples | Hébergement | Contrôle des données | Risque juridique principal |
|---|---|---|---|---|
| Grand public | ChatGPT (OpenAI), Gemini (Google) | États-Unis | Faible — données potentiellement utilisées pour l'entraînement | Transfert hors UE, réutilisation des données |
| SaaS spécialisé | Mistral Le Chat, Dataiku, Jasper | Variable (US/UE) | Moyen — dépend des CGU et du contrat | Clauses contractuelles, verrouillage fournisseur |
| IA souveraine / on-premise | Solutions basées sur Mistral, LLaMA déployées en interne | France / UE | Élevé — données restent dans l'infrastructure client | Coût d'intégration, compétences internes |
Selon une étude McKinsey publiée en août 2024, 72 % des entreprises dans le monde déclarent utiliser au moins une solution d'IA, contre 55 % en 2023. En France, la CNIL a reçu en 2024 plus de 30 plaintes liées à l'utilisation de systèmes d'IA générative en entreprise, principalement sur des questions de transfert de données personnelles vers les États-Unis.
Le choix entre ces 3 modèles ne relève pas uniquement de la performance technique. Il engage la conformité réglementaire, la maîtrise de la propriété intellectuelle et la capacité de réversibilité.
Structurer juridiquement le choix d'une application IA nécessite une analyse croisée entre contraintes techniques et exigences réglementaires.
Consultez un avocat spécialisé en intelligence artificielle
Cadre juridique applicable : IA Act, RGPD et lois sectorielles
Le déploiement d'une application IA en France s'inscrit dans un cadre juridique à 3 niveaux.
L'IA Act (règlement UE 2024/1689)
Ce règlement impose des obligations proportionnelles au niveau de risque du système. Les systèmes à haut risque — recrutement automatisé, scoring crédit, dispositifs médicaux — doivent respecter des exigences de transparence, de documentation technique, de supervision humaine et de gestion des biais. Les premières interdictions (systèmes de notation sociale, manipulation subliminale) s'appliquent depuis février 2025. Les obligations pour les systèmes à haut risque entreront en vigueur en août 2026.
Le RGPD
Tout traitement de données personnelles par une application IA reste soumis au règlement (UE) 2016/679. La CNIL a publié en juin 2024 des recommandations spécifiques sur l'application du RGPD aux systèmes d'IA, couvrant la base légale du traitement, le droit d'opposition et l'obligation d'information.
Réglementations sectorielles
Dans la santé, le règlement sur les dispositifs médicaux (MDR) s'ajoute à l'IA Act. Dans la finance, les exigences de l'ACPR et de l'AMF encadrent les modèles de scoring et de détection de fraude. Dans la défense, le code des marchés publics et les classifications de sécurité limitent les solutions éligibles.
Sécurisation des contrats fournisseurs IA : clauses critiques pour le DSI
La négociation contractuelle avec un fournisseur d'application IA exige une attention particulière sur 6 points.
Localisation et transfert des données : le contrat doit préciser où les données sont stockées, traitées et si elles transitent hors de l'Espace économique européen. En l'absence de décision d'adéquation (cas des États-Unis post-Data Privacy Framework), des clauses contractuelles types (CCT) adoptées par la Commission européenne sont nécessaires.
Réutilisation des données par le fournisseur : certaines CGU autorisent l'utilisation des inputs clients pour entraîner les modèles. Cette clause doit être explicitement exclue ou encadrée.
Auditabilité du modèle : le DSI doit pouvoir vérifier — ou faire vérifier par un tiers — le fonctionnement du modèle, ses biais et sa conformité à l'IA Act.
Réversibilité : le contrat doit garantir la récupération intégrale des données et des configurations en cas de changement de fournisseur, avec un délai et un format définis.
Responsabilité en cas de décision automatisée : l'article 22 du RGPD encadre les décisions produisant des effets juridiques. Le contrat doit répartir clairement la responsabilité entre le fournisseur (modèle) et le client (usage).
SLA et continuité de service : les engagements de disponibilité, de temps de réponse et de gestion des incidents doivent être adaptés à la criticité de l'usage IA.
La rédaction de clauses contractuelles adaptées aux spécificités de l'IA protège l'entreprise contre les risques de non-conformité et de perte de contrôle sur ses données.
Faites sécuriser vos contrats IA par un avocat spécialisé
Conformité RGPD des applications IA : obligations et bonnes pratiques
Le déploiement d'une application IA traitant des données personnelles impose au DSI de vérifier 5 points de conformité RGPD.
Base légale du traitement : l'intérêt légitime (article 6.1.f du RGPD) est la base la plus fréquemment invoquée. La CNIL exige toutefois une analyse de proportionnalité documentée, notamment lorsque le traitement implique du profilage.
Analyse d'impact (AIPD) : obligatoire pour tout traitement à grande échelle de données personnelles par un système automatisé. La CNIL recommande de réaliser cette analyse avant la mise en production.
Information des personnes concernées : les salariés, clients ou utilisateurs dont les données alimentent l'IA doivent être informés de manière claire, conformément aux articles 13 et 14 du RGPD.
Droit d'opposition et intervention humaine : toute personne peut s'opposer à un traitement automatisé. L'article 22 du RGPD impose une intervention humaine pour les décisions produisant des effets significatifs.
Minimisation et durée de conservation : seules les données strictement nécessaires doivent être collectées. Les durées de conservation doivent être définies et respectées, y compris dans les jeux de données d'entraînement.
En 2024, la CNIL a prononcé 42 mises en demeure liées à des traitements de données par des systèmes automatisés, dont 8 concernaient spécifiquement des outils d'IA générative utilisés en contexte professionnel.
Propriété intellectuelle et confidentialité des données traitées
La question de la propriété intellectuelle dans le contexte des applications IA se pose à 3 niveaux.
Données d'entrée (inputs)
Les données fournies par l'entreprise au système IA restent sa propriété, sauf clause contraire. Le risque réside dans les CGU de certains outils grand public qui prévoient une licence d'utilisation large au profit du fournisseur.
Résultats produits (outputs)
En droit français, une œuvre générée par une IA sans intervention humaine créative ne bénéficie pas de la protection par le droit d'auteur (article L.111-1 du Code de la propriété intellectuelle). Le contrat doit donc prévoir explicitement la titularité des outputs et les conditions de leur exploitation.
Modèles fine-tunés
Lorsqu'une entreprise entraîne un modèle sur ses propres données, la question de la propriété du modèle résultant dépend entièrement du contrat. Sans clause spécifique, le fournisseur conserve généralement la propriété du modèle de base et de ses dérivés.
La confidentialité des données traitées constitue un enjeu distinct. Les accords de confidentialité (NDA) classiques ne couvrent pas toujours les spécificités de l'IA : réentraînement, agrégation anonymisée, embeddings. Des clauses dédiées sont nécessaires.
Sécuriser la propriété des données et des résultats produits par une IA exige des clauses contractuelles adaptées aux mécanismes techniques de ces systèmes.
Échangez avec un avocat en propriété intellectuelle et IA
Critères juridiques et techniques de sélection d'une application IA
Pour arbitrer entre plusieurs solutions, le DSI peut structurer son évaluation autour d'une grille combinant critères juridiques et techniques.
| Critère | Questions clés | Niveau d'exigence |
|---|---|---|
| Classification IA Act | Le système est-il à haut risque ? Quelles obligations en découlent ? | Éliminatoire |
| Localisation des données | Hébergement UE ? Transferts hors EEE encadrés ? | Éliminatoire |
| Conformité RGPD | AIPD réalisée ? Base légale identifiée ? | Éliminatoire |
| Propriété des outputs | L'entreprise est-elle titulaire des résultats ? | Négociable |
| Auditabilité | Le modèle peut-il être audité par un tiers ? | Recommandé |
| Réversibilité | Récupération des données garantie ? Délai ? Format ? | Éliminatoire |
| Interopérabilité | Intégration avec le SI existant via API standards ? | Recommandé |
| Sécurité technique | Chiffrement, gestion des accès, journalisation ? | Éliminatoire |
Les critères marqués « éliminatoire » doivent être satisfaits avant toute évaluation fonctionnelle. Cette grille permet au DSI de documenter ses arbitrages et de justifier ses choix auprès de la direction générale et du DPO.
Rôle du DSI et de la direction juridique dans le déploiement IA
Le déploiement d'une application IA en entreprise ne relève ni du seul DSI, ni de la seule direction juridique. Il exige une collaboration structurée dès la phase d'identification du besoin.
Le DSI intervient sur l'évaluation technique (performance, intégration, sécurité), la gestion du change management et la supervision opérationnelle. La direction juridique intervient sur la qualification réglementaire (IA Act, RGPD), la négociation contractuelle et la gestion des risques de responsabilité.
En pratique, cette collaboration prend 3 formes :
- Comité IA interne : instance de gouvernance réunissant DSI, direction juridique, DPO et métiers, chargée de valider chaque projet IA avant déploiement.
- Registre des traitements IA : document recensant tous les systèmes IA déployés, leur classification IA Act, leur base légale RGPD et leur fournisseur.
- Processus d'évaluation préalable : grille d'analyse systématique appliquée à chaque nouvelle application IA, intégrant les critères juridiques et techniques définis en amont.
Selon le baromètre Wavestone 2024 sur la transformation numérique, 61 % des grandes entreprises françaises ont mis en place un comité de gouvernance IA. Parmi celles qui n'en disposent pas, 45 % déclarent avoir rencontré des difficultés de conformité lors du déploiement d'outils d'IA générative.
La mise en place de cette gouvernance conjointe permet au DSI de sécuriser ses choix technologiques tout en documentant la conformité réglementaire exigée par l'IA Act à compter d'août 2026.
FAQ
Une entreprise peut-elle utiliser ChatGPT sans encadrement juridique ?
Non. L'utilisation de ChatGPT en contexte professionnel implique un transfert de données vers les serveurs d'OpenAI aux États-Unis. Ce transfert doit être encadré par des clauses contractuelles types conformes au RGPD. Par ailleurs, les CGU d'OpenAI prévoient par défaut la possibilité d'utiliser les inputs pour entraîner ses modèles, sauf désactivation explicite par l'entreprise via l'API ou les paramètres Enterprise.
L'IA Act s'applique-t-il déjà aux entreprises françaises ?
Le règlement (UE) 2024/1689 est entré en vigueur le 1er août 2024. Les interdictions concernant les systèmes à risque inacceptable s'appliquent depuis février 2025. Les obligations relatives aux systèmes à haut risque entreront en vigueur en août 2026. Les entreprises ont donc un délai pour se mettre en conformité, mais l'analyse de classification doit être engagée dès maintenant.
Qui est responsable en cas de décision erronée prise par une IA ?
Le RGPD (article 22) impose que toute décision automatisée produisant des effets juridiques fasse l'objet d'une intervention humaine. La responsabilité se répartit contractuellement entre le fournisseur (fonctionnement du modèle) et l'entreprise utilisatrice (usage et supervision). En l'absence de clause contractuelle, l'entreprise déployant l'IA assume la responsabilité vis-à-vis des personnes concernées.
Les résultats générés par une IA sont-ils protégés par le droit d'auteur ?
En droit français, une création protégée par le droit d'auteur suppose une « empreinte de la personnalité de l'auteur » (article L.111-1 du CPI). Un contenu généré intégralement par une IA, sans intervention humaine créative, ne remplit pas ce critère. Le contrat avec le fournisseur doit donc prévoir la titularité et les conditions d'exploitation des outputs.
Qu'est-ce qu'une IA souveraine et quel est son intérêt juridique ?
Une IA souveraine désigne une solution dont l'hébergement, le traitement des données et le développement du modèle sont réalisés dans l'Union européenne, sous juridiction européenne. Son intérêt juridique réside dans la suppression du risque de transfert hors EEE, la conformité facilitée au RGPD et la maîtrise de la localisation des données. Mistral AI, entreprise française, propose par exemple des modèles déployables sur des infrastructures européennes.
Pour aller plus loin
Les fiches pratiques IA - CNIL
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
